Vol de crypto de plusieurs millions de dollars du gouvernement américain lié au fils d’un entrepreneur : enquête de ZachXBT

Un scandale majeur de sécurité et de supervision a éclaté au sein du système de gestion des cryptomonnaies du gouvernement américain. Le célèbre enquêteur en blockchain ZachXBT a publiquement allégué qu’une personne nommée John Daghita, fils d’un cadre d’un contractant fédéral, serait responsable du vol d’au moins 40 millions de dollars provenant de portefeuilles crypto saisis par le Service des Marshals des États-Unis.

Les actifs ciblés étaient liés à des affaires de haut profil comme le piratage de Bitfinex en 2016, et le père du présumé auteur, Dean Daghita, est président de Command Services & Support (CMDSS)—une société détenant un contrat lucratif pour 2024 pour gérer ces actifs saisis. Cette affaire soulève de profondes questions sur le risque interne, la vérification des contractants, et la compétence du gouvernement américain à sécuriser des milliards d’actifs numériques, ce qui pourrait entraîner des appels à une refonte complète de ses protocoles de garde de crypto.

La Dévoilement : Comment une “Brag pour Brag” a Exposé un Vol

Le chemin vers cette révélation étonnante a été aussi peu conventionnel que le crime lui-même. Il n’a pas commencé par un audit officiel ou un lanceur d’alerte gouvernemental, mais dans les recoins obscurs d’un groupe Telegram, où des cybercriminels s’engagent parfois dans des disputes “band-for-band”—des défis publics pour prouver qui contrôle plus de richesses illicites. Lors d’une de ces disputes enregistrées, une personne utilisant le pseudonyme “Lick” a tenté d’établir sa dominance en partageant son écran avec un portefeuille crypto contenant des millions. Ce comportement de “pavoisement numérique” a fourni la preuve cruciale et non protégée dont ZachXBT avait besoin pour commencer son travail d’enquête.

ZachXBT a minutieusement suivi les transactions visibles publiquement depuis les portefeuilles exhibés par “Lick”. Les traces numériques ont mené en arrière à travers un labyrinthe complexe d’adresses blockchain, convergeant finalement vers un point critique : un flux direct de plusieurs millions de dollars provenant d’un portefeuille identifié comme appartenant au gouvernement américain. Ce portefeuille spécifique était connu pour détenir une partie des cryptomonnaies saisies lors du piratage de l’échange Bitfinex en 2016. En corrélant les horodatages, montants, et la consolidation rapide des fonds, ZachXBT a construit une piste de registre public convaincante suggérant que “Lick” avait illicitement accédé et drainé des actifs contrôlés par le gouvernement. L’enquêteur a ensuite relié le pseudonyme en ligne “Lick” à une identité réelle : John Daghita.

Suivi de la Piste Numérique : Points Clés de la Supposée Vol

• Le Déclencheur : Une dispute “band-for-band” sur Telegram mène au partage d’écran d’un portefeuille Exodus contenant environ 2,3 millions de dollars en TRON (TRX).
• Consolidation en Direct : Pendant la dispute, 6,7 millions de dollars supplémentaires en Ethereum (ETH) sont transférés en direct vers un portefeuille connecté, portant le total visible à environ 23 millions de dollars dans une seule adresse.
• Origine des Fonds : La traçabilité forensic relie ce portefeuille consolidé à une adresse ayant reçu 24,9 millions de dollars d’un portefeuille de saisie connu du gouvernement américain en mars 2024.
• Portefeuille Gouvernemental Connnu : L’adresse d’envoi fait partie du lot d’actifs saisis par le gouvernement américain lors du piratage de Bitfinex en 2016.
• Incident Précédent : ZachXBT avait déjà signalé une activité inhabituelle sur ce même groupe d’adresses en octobre 2024, lorsque environ 20 millions de dollars avaient été brièvement drainés et en grande partie restitués, avec environ 700 000 dollars définitivement perdus via des échanges instantanés.
• Total en Investigation : Les activités présumées de John Daghita (“Lick”) sont désormais reliées à un schéma plus large impliquant plus de 90 millions de dollars en cryptomonnaies volées suspectées en 2024 et 2025.

La Connexion avec le Contractant : CMDSS et un Contrat Gouvernemental Controversé

L’intrigue s’est considérablement épaissie lorsque ZachXBT a découvert le lien familial entre le présumé voleur et le système qu’il aurait pillé. John Daghita a été identifié comme le fils de Dean Daghita, président et fondateur de Command Services & Support (CMDSS), une société informatique et de conseil basée à Haymarket, en Virginie. Ce n’était pas une simple affaire familiale ; en octobre 2024, CMDSS a obtenu un contrat important du Service des Marshals des États-Unis (USMS) pour aider à la “gestion et à la liquidation” de cryptomonnaies de catégorie “Classe 2-4” — une catégorie comprenant une vaste gamme d’altcoins et de tokens non supportés par les échanges traditionnels.

L’attribution de ce contrat a elle-même été entachée de controverse. CMDSS a surenchéri face à plusieurs concurrents, notamment la société spécialisée en crypto Wave Digital Assets. Wave a ensuite déposé une protestation officielle auprès du Government Accountability Office (GAO), alléguant que CMDSS ne disposait pas des licences réglementaires financières nécessaires et soulevant un conflit d’intérêts potentiel. La protestation de Wave pointait notamment la présence d’un ancien officiel du Service des Marshals, susceptible d’avoir eu accès à des informations non publiques pertinentes pour le processus d’appel d’offres. Malgré ces graves accusations, le GAO a rejeté la protestation, concluant que l’évaluation du USMS était “raisonnable”. Ce contrôle préalable jette désormais une longue ombre sur le processus d’attribution, suggérant que des signaux d’alerte ont pu être ignorés en faveur d’un contractant dont les contrôles internes semblent avoir été gravement compromis.

Un Système Sous Tension : Le Défi de la Garde des Crypto-monnaies par le Gouvernement

Le vol allégué met en lumière des vulnérabilités systémiques qui dépassent largement un seul contractant ou individu. Le Service des Marshals, chargé de liquider des milliards de dollars en bitcoin et autres cryptomonnaies issus d’affaires comme Silk Road, Bitfinex, et FTX, lutte depuis longtemps avec la complexité technique de cette classe d’actifs. Un rapport de février 2025 de CoinDesk révélait un manque alarmant de contrôles d’inventaire de base, notant que l’agence ne pouvait pas fournir une estimation claire de ses avoirs totaux en bitcoin et s’appuyait historiquement sur des feuilles de calcul sujettes à erreur pour le suivi.

Ce cas met en évidence la différence critique entre **saisir une cryptomonnaie et **la gérer en toute sécurité sur le long terme. La saisie d’actifs implique l’obtention de clés privées ou d’ordonnances judiciaires pour geler des comptes d’échange. Cependant, la garde continue nécessite des protocoles de sécurité de niveau entreprise, des configurations de portefeuilles multi-signatures, des contrôles d’accès rigoureux, et un audit permanent—des capacités qui semblent faire défaut. La dépendance à des contractants tiers comme CMDSS introduit un vecteur de risque de “l’insider de confiance”. Si des individus ayant des liens familiaux ou personnels proches avec des contractants peuvent accéder, même indirectement, à des informations sensibles ou des actifs, toute la chaîne de garde est compromise. Cela suggère que les agences gouvernementales appliquent des cadres traditionnels de garde d’actifs physiques à un environnement numérique qui exige un paradigme de sécurité fondamentalement différent, et bien plus strict.

Les Conséquences et la Cover-up : Nettoyage Numérique et Questions Persistantes

Suite à l’enquête publique de ZachXBT, une tentative frénétique d’effacer la piste numérique semble avoir été lancée. Peu après que les accusations ont gagné en traction en ligne, CMDSS a procédé à un nettoyage quasi-total de sa présence publique. Le compte officiel de la société sur X (anciennement Twitter) a été supprimé. Son profil LinkedIn, qui aurait listé la direction et les employés, a disparu. Plus important encore, le site web de CMDSS a été vidé de toute information concernant son équipe, ses biographies de direction, et son histoire d’entreprise, ne laissant que des descriptions de services génériques—une manœuvre classique pour dissocier une marque d’un scandale naissant.

Simultanément, John Daghita (“Lick”) a pris des mesures pour effacer ses propres traces. Il aurait supprimé ses identifiants de nom d’utilisateur NFT de son compte Telegram et changé son nom d’écran, tentant de briser le lien direct entre son persona en ligne et les preuves présentées. Cependant, dans le monde de la blockchain, les transactions sur la chaîne sont immuables. Si les profils sur les réseaux sociaux peuvent être supprimés, le mouvement de 40 millions de dollars en cryptomonnaie est gravé à jamais dans les registres publics, fournissant aux enquêteurs une chronologie financière irréfutable. Ces tentatives réactives d’obfuscation, plutôt que de prouver l’innocence, signalent souvent une conscience de culpabilité et ont renforcé la vigilance tant du public que, probablement, des agences fédérales chargées d’enquêter.